Freigeben über


Zertifikatbasierte Authentifizierung von Microsoft Entra mit Verbund unter iOS

Zur Steigerung der Sicherheit können iOS-Geräte für die Authentifizierung bei Microsoft Entra ID die zertifikatbasierte Authentifizierung verwenden, indem auf den Geräten beim Herstellen einer Verbindung mit folgenden Anwendungen oder Diensten ein Clientzertifikat verwendet wird:

  • Mobile Office-Anwendungen wie Microsoft Outlook und Microsoft Word
  • Exchange ActiveSync-Clients (EAS)

Bei Verwendung von Zertifikaten ist es bei bestimmten E-Mail- und Microsoft Office-Anwendungen auf Ihrem mobilen Gerät nicht mehr erforderlich, einen Benutzernamen und ein Kennwort einzugeben.

Unterstützung mobiler Microsoft-Anwendungen

Apps Support
Azure Information Protection-App Check mark signifying support for this application
Unternehmensportal Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
Office (Mobil) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Anforderungen

Beachten Sie bei der Verwendung der zertifikatbasierten Authentifizierung in iOS die folgenden Voraussetzungen und Überlegungen:

Für Active Directory-Verbunddienste (AD FS) gelten die folgenden Anforderungen und Überlegungen:

  • Der AD FS-Server muss für die Zertifikatauthentifizierung aktiviert sein und die Verbundauthentifizierung verwenden.
  • Das Zertifikat muss die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) verwenden und den Benutzerprinzipalnamen (UPN) des Benutzers im alternativen Antragstellernamen (NT-Prinzipalname) enthalten.

Konfigurieren von AD FS

Damit Microsoft Entra ID ein Clientzertifikat widerrufen kann, muss das AD FS-Token die folgenden Ansprüche enthalten. Wenn diese Ansprüche im AD FS-Token (oder in einem anderen SAML-Token) enthalten sind, fügt Microsoft Entra ID die Ansprüche dem Aktualisierungstoken hinzu. Wenn das Aktualisierungstoken überprüft werden muss, werden diese Informationen zum Überprüfen der Sperrung verwendet:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>: Fügen Sie die Seriennummer Ihres Clientzertifikats hinzu.
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>: Fügen Sie die Zeichenfolge für den Aussteller des Clientzertifikats hinzu.

Als bewährte Methode sollten Sie auch die AD FS-Fehlerseiten Ihrer Organisation mit folgenden Informationen aktualisieren:

  • Voraussetzungen für die Installation von Microsoft Authenticator unter iOS
  • Anleitungen zum Abrufen eines Benutzerzertifikats

Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseite.

Verwenden der modernen Authentifizierung mit Office-Apps

Einige Office-Apps mit aktivierter moderner Authentifizierung senden prompt=login in der Anforderung an Microsoft Entra ID. Microsoft Entra ID übersetzt prompt=login in der Anforderung an AD FS standardmäßig mit wauth=usernamepassworduri (fordert AD FS zum Durchführen der U/P-Authentifizierung auf) und wfresh=0 (fordert AD FS auf, den SSO-Status zu ignorieren und eine erneute Authentifizierung durchzuführen). Wenn Sie die zertifikatbasierte Authentifizierung für diese Apps aktivieren möchten, ändern Sie das Microsoft Entra-Standardverhalten.

Legen Sie zum Anpassen des Standardverhaltens in den Einstellungen der Verbunddomäne PromptLoginBehavior auf Disabled fest. Für diese Aufgabe können Sie das Cmdlet New-MgDomainFederationConfiguration verwenden, wie im folgenden Beispiel gezeigt:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Unterstützung von Exchange ActiveSync-Clients

Unter iOS 9 oder höher wird der native iOS-E-Mail-Client unterstützt. Wenden Sie sich bei allen anderen Exchange ActiveSync-Anwendungen an den Anwendungsentwickler, um zu erfragen, ob dieses Feature unterstützt wird.

Nächste Schritte

Anweisungen zum Konfigurieren der zertifikatbasierten Authentifizierung in Ihrer Umgebung finden Sie unter Erste Schritte mit der zertifikatbasierten Authentifizierung.